Hôm nay mình mới chuyển song website lên vp từ hosting được donate. Khi chuyển thì mình chọn dùng nginx và thế là các thiếp lập cũ dựa trên apache trở lên vô dụng, chuyển qua nginx config thì gặp lỗi,

Sau một thời gian loay hoay mình thôi quyết định viết rule của cloudflare để tiến hành set chặn các quyền truy cập vào các thư mục nhạy cảm…

Đầu tiên mình set chặn ip vào wp-admin các bạn vào mục firewall tạo rule và chọn Edit expression

Sau đó các bạn điền đoạn code sau

(http.request.uri.path contains "/wp-admin" and ip.src ne 127.0.0.1)
view raw config hosted with ❤ by GitHub

Các bạn chú ý thay đổi 127.0.0.1 thành IP của bạn

Sau khi set song thì gặp vấn đề với ajax.hix cái này khá khoai khi nó cũng nằm trong thư mục wp-admin cũng dính block có thể dính lỗi cho người dùng giờ chúng ta phải giải quyết nó cách đơn giản nhất là chúng ta bỏ chặn nó bằng viết cho nó 1 cái rule nữa với nội dung như sau

(http.request.uri eq "/wp-admin/admin-ajax.php")
view raw cp hosted with ❤ by GitHub

và chọn action là js challenges hoặc alow thì tùy bạn sau đó lưu lại

Vậy là đã cấu hình song wp-admin giờ chúng ta cần phải xử lý file trong thư mục upload để tránh các file không phải ảnh chạy trong đó như php….

Chúng ta tạo 1 rule mới với nội dung như sau

(http.request.uri.path contains ".php" and http.request.uri.path contains "/uploads/")
view raw body hosted with ❤ by GitHub

Giờ các bạn có thể test thoải mái!

Update: Thêm code chống bruteforce password cho các bạn

(not ip.geoip.country in {"VN" "SG"} and http.request.method eq "POST" and http.request.uri.path contains "/wp-login.php")
view raw pass hosted with ❤ by GitHub

Thay VN SG thành quốc gia bạn muốn thì bạn sẽ hạn chê được bruteforce password từ các tools của tụi nước ngoài hay cắm như khựa chả hạn!

Lưu ý: Nói là chặn tuy nhiên cái này chặn được người ngay không chặn được người gian. nghĩa là nếu IP sau clouflare của bạn bị lộ thì firewall này vô hiệu với user đó, thế nên hãy che kín cẩn thận IP của server cho đỡ bị scan và an toàn.

Leave a Reply

avatar
  Subscribe  
Notify of